Политика за поверителност

Данни за регистрация и удостоверяване:

• Имейл адрес (задължителен за създаване на профил)
• Име (опционално, ако го попълните)
• Идентификатор на профила при нашия доставчик на удостоверяване (Clerk user ID)
• Време и метадата на вход/изход (IP адрес, браузър, устройство) — за сигурност на профила

Данни за бизнес профил (доставчици на услуги):

• Име на бизнеса, описание, предлагани услуги
• Адрес, област, населено място
• Телефон и имейл за контакт
• Снимки и мултимедия, които качвате
• Работно време, ценова информация за обяви

Данни от ваша дейност в CRM модула на сервиз (workshop workspace):

• Данни за ваши клиенти: име, телефон, имейл (ако сте ги въвели)
• Данни за превозни средства: регистрационен номер, марка, модел, VIN
• История на ремонти и обслужвания: дата, извършени работи, цена, сервизни бележки
• Важно: когато сервиз използва нашето CRM за своите клиенти, сервизът е администратор за тези данни, а ние сме обработващ от негово име.

Данни за ангажираност с публичния каталог:

• Типа на действието, което сте направили: разглеждане на профил, показване на телефон, кликване за навигация
• Анонимен идентификатор на сесията (случаен UUID, генериран в браузъра ви, не е свързан с никой потребителски профил в нашите системи)
• Тип устройство и браузър (user-agent) и точен момент на събитието
• Важно: приложението НЕ съдържа форма за контактно запитване — не записваме имена, имейли, телефони или съобщения от посетители на публичния каталог

Технически данни и логове:

• Маскиран IP адрес, тип браузър, операционна система, референт
• Идентификатори за сесия и защита от bot атаки (Cloudflare Turnstile предизвикателства при вход)
• Логове за грешки и производителност (stack traces, URL, user ID — при възникване на грешка)
• Агрегирани статистически данни за трафик (посещения на страници — без лична идентификация)

Изпълнение на договор (чл. 6(1)(б) GDPR):

• Създаване и управление на потребителски профил
• Предоставяне на бизнес услуги към доставчиците: публикуване на обяви, CRM workspace, управление на клиенти
• Обработка на комуникация и запитвания между посетители и доставчици
• Техническа поддръжка на услугата

Законово задължение (чл. 6(1)(в) GDPR):

• Съхранение на счетоводно-релевантни записи: 5 години по чл. 38 от Закона за счетоводството
• Гаранционни и отговорностни записи за ремонти: до 10 години по ЗЗД
• Отговор на правоохранителни или регулаторни искания с легитимно основание

Легитимен интерес (чл. 6(1)(е) GDPR):

• Защита на платформата от спам, злоупотреба, ботове и неоторизиран достъп
• Мониторинг на грешки и производителност за поддържане на стабилност на услугата
• Проследяване на измамни или абузивни потребителски действия
• Агрегирани анализи за подобряване на продукта (без индивидуална идентификация)
• Рейт-лимит на действия като запитвания и регистрации

Съгласие (чл. 6(1)(а) GDPR):

• Аналитични бисквитки на трети страни (Google Analytics) — само след изрично активиране през банера за бисквитки
• По-специфични маркетингови комуникации, ако изберете да получавате такива

Clerk (удостоверяване и управление на сесии) — САЩ:

• Цел: регистрация, вход, възстановяване на парола, управление на профили
• Данни: имейл, име, Clerk user ID, метадата за сесия
• Регион: САЩ
• Прехвърляния: EU-U.S. Data Privacy Framework (DPF) + Стандартни договорни клаузи (SCCs) като резервна мярка
• DPA: https://clerk.com/legal/dpa
• Публичен списък на подобработващи: https://clerk.com/legal/subprocessors

Convex (backend и база данни) — ЕС регион:

• Цел: съхранение на данни на приложението, сървърна бизнес логика
• Данни: всички данни, които въвеждате в приложението — профили, клиенти, обяви, съобщения
• Регион: ЕС (нашият deployment е в европейски регион; AWS и PlanetScale следват региона)
• Прехвърляния: корпоративните операции на Convex Inc. в САЩ (мониторинг, поддръжка) са покрити от SCCs Module Two
• DPA: https://www.convex.dev/legal/dpa
• Публичен списък на подобработващи: https://www.convex.dev/legal/subprocessors

Vercel (хостинг, CDN, анализ на производителност) — глобално с EU default:

• Цел: хостинг на приложението, доставяне на статично съдържание, анализ на уеб производителност (Vercel Analytics)
• Данни: HTTP заявки, маскиран IP, user-agent, анонимни идентификатори за статистика
• Регион: глобална edge мрежа; съхранение предимно в ЕС
• Прехвърляния: SCCs Module Two за трансфери към САЩ
• DPA: https://vercel.com/legal/dpa

Sentry (проследяване на грешки) — Германия (EU):

• Цел: проследяване на грешки, мониторинг на производителност, агрегиране на логове
• Данни: stack traces, URL-и на заявки, user ID и имейл прикачени към грешки, метадата за производителност
• Регион: Германия (Франкфурт) — ЕС регион; не се извършва трансфер извън ЕИП за основната обработка
• DPA: https://sentry.io/legal/dpa/

Cloudflare (защита от ботове чрез Turnstile) — глобално, транзитивно чрез Clerk:

• Цел: bot challenge на формите за вход и регистрация — интегриран през UI на Clerk
• Данни: краткотрайни токени за bot-detection; без трайна лична информация
• Нямаме директен акаунт с Cloudflare — обхватът идва от подизпълнителската верига на Clerk
• Покритие: чрез DPA на Clerk (https://clerk.com/legal/dpa)

Google Analytics (аналитика след съгласие) — САЩ:

• Цел: агрегиран анализ на посещаемост и потребителско поведение
• Данни: идентификатор на клиент (GA cookie), анонимизирани събития, маскиран IP
• Регион: САЩ
• Зарежда се САМО след изрично активиране през банера за бисквитки
• Прехвърляния: Google LLC е DPF-сертифициран + SCCs
• DPA: https://business.safety.google/adsprocessorterms/

Данни за регистрация (имейл, име, Clerk user ID):

• До изтриване на профила от вас
• След изтриване: данните се премахват от нашите системи; Clerk запазва остатъчни записи до 30 дни според своята политика за изтриване

Бизнес профил и обяви на доставчик:

• До затваряне на профила от доставчика
• След затваряне: 30-дневен grace период (soft-delete) за възстановяване; след това безвъзвратно изтриване

Клиентски данни в CRM на сервиз (име, телефон):

• До упражняване на правото на изтриване (чл. 17 GDPR) от сервиза/клиента — тогава данните се редактират на място в записа и се маркират с timestamp
• При затваряне на профила на сервиза — редактиране по същия начин
• Важно: ремонтните записи и данните за превозното средство се запазват отделно за целите на счетоводна и гаранционна отчетност (виж следващата точка)

Ремонтни записи и данни за превозни средства (регистрационен номер, извършени работи, цена):

• До 5 години от последното обслужване — задължително по чл. 38 от Закона за счетоводството (правно основание: чл. 6(1)(в) GDPR)
• След това — запазват се за неопределен срок като автомобилна сервизна история на наш легитимен интерес по чл. 6(1)(е) GDPR (запазване на техническа история за текущи и бъдещи собственици на автомобила; вижте ADR 013 за документирания баланс-тест)
• Клиентската лична информация (име, телефон, имейл, бележки) е изтрита в момента на заявката за забравяне — оставащите полета (регистрационен номер, марка, извършени работи) се отнасят до автомобила, не до конкретно физическо лице

Събития за ангажираност с публичния каталог:

• Необработените събития (тип — разглеждане на профил, показване на телефон, клик за навигация — плюс timestamp и анонимен идентификатор на сесия) се задържат само за текущия календарен месец (по часови пояс Европа/София). На първи ден от следващия месец автоматичен процес (Convex cron) консолидира данните в месечни броячи на ниво сервиз и изтрива необработените записи.
• Месечните агрегирани броячи (сервиз + година + месец + брой събития по тип) се запазват безсрочно като лайф-тайм статистика на сервиза; те не съдържат идентификатори на сесия и не могат да бъдат асоциирани с конкретен посетител.
• Не се обработват имена, имейли или съобщения — никоя форма в приложението не ги събира.

Логове за вход и сигурност (Clerk):

• 30–90 дни (по default политика на Clerk) — необходимо за защита от измама и компрометиране на профили

Логове за грешки и производителност (Sentry):

• 90 дни (по default политика на Sentry) — необходимо за диагностика и поддръжка

Анализ на трафика (Vercel Analytics):

• Само агрегирани метрики; индивидуалните точки от данни не се запазват

Google Analytics (след съгласие):

• До 26 месеца (стандартна настройка GA4)
• Изтрива се при оттегляне на съгласие чрез нашия банер

Комуникация за поддръжка (имейл):

• До 2 години от приключване на искането — за проследяване на повторни проблеми

Упражняване на правата:

• Изпратете искане на: contact@primeservices.bg
• Посочете какво право искате да упражните и достатъчно информация, за да ви идентифицираме в нашите системи
• Може да поискаме допълнителна информация, ако имаме основателни съмнения за идентичността на заявителя

Права по GDPR:

• Право на достъп (чл. 15): да получите копие от обработваните данни и информация за обработката
• Право на поправка (чл. 16): да поискате корекция на неточни или непълни данни
• Право на изтриване (чл. 17, „право да бъдеш забравен"): да поискате изтриване, когато данните повече не са необходими, оттеглите съгласие или се възразите срещу обработката. Забележка: някои записи (ремонтна история, счетоводни) могат да бъдат запазени на основание чл. 6(1)(в) — законово задължение
• Право на ограничаване (чл. 18): да ограничите обработката при оспорване на точността или законосъобразността
• Право на преносимост (чл. 20): да получите данните в структуриран, широко използван, машинно-четим формат и да ги прехвърлите към друг администратор
• Право на възражение (чл. 21): да възразите срещу обработка, основана на легитимен интерес
• Право да не бъдете обект на автоматизирано вземане на решения (чл. 22): ние не извършваме автоматизирано профилиране със значителни правни или подобни последици за вас
• Право да оттеглите съгласие (чл. 7(3)): ако обработка се основава на съгласие, може да го оттеглите по всяко време, без това да засяга законосъобразността на предишната обработка

Право на жалба до надзорен орган (чл. 77):

• Имате право да подадете жалба до надзорен орган, ако смятате, че обработката нарушава GDPR
• Компетентен орган за България: Комисия за защита на личните данни (КЗЛД)
• Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров“ №2
• Телефон: +359 2 915 3 518
• Имейл: kzld@cpdp.bg
• Уебсайт: https://www.cpdp.bg/

• Криптиране на данните при пренос (TLS 1.2+) и при съхранение (at-rest encryption при нашите доставчици на инфраструктура)
• Многофакторно удостоверяване за административни достъпи
• Принцип на минимални привилегии (role-based access control) в CRM workspace
• Сегрегация на данните по доставчик (tenant isolation)
• Проследяване на грешки и мониторинг на производителност (Sentry в ЕС регион)
• Политика за редовни обновявания на зависимостите и сигурностни patch-ове
• Договорни DPA-та с всички подобработващи и one-step-removed задължения по чл. 28
• Редовни прегледи на логовете за достъп и подозрителна активност
• Защита от ботове чрез Cloudflare Turnstile при вход

• Забележка: нито една система в интернет не е 100% защитена. При инцидент със сигурността, който вероятно води до висок риск за правата и свободите, ще ви уведомим без необосновано забавяне съгласно чл. 34 GDPR.